Współczesna Gospodarka

Transkrypt

1 Współczesna Gospodarka Contemporary Economy Vol. 2 Issue 1 (2011) Electronic Scientific Journal ISSN X HONEYPOT Streszczenie W artykule przedstawiono zasady ochrony sieci komputerowych za pomocą technologii honeypot. Honeypoty to systemy pułapek, które stanowią bardzo silną broń w rękach specjalistów od bezpieczeństwa informatycznego. Autor opisał rodzaje i koncepcje funkcjonowania honeypotów. Słowa kluczowe: bezpieczeństwo informacji, ochrona sieci komputerowej, funkcjonowanie honeypotów Wstęp Podczas Zimnej Wojny terminy honeypot i honeytrap określały metody szpiegowskie mające na celu przechwycenie, zlikwidowanie lub skompromitowanie wrogiego agenta przy wykorzystaniu przynęty. Pierwsze publiczne dokumenty, które opisują zasadę działania honeypotów w informatyce pojawiły się przed rokiem 1990 i można domniemywać, że ta technologia była już wcześniej rozwijana w ośrodkach wojskowych. Pierwsze honeypoty były kompletnymi systemami operacyjnymi i dopiero po roku 1997 zaczęły powstawać aplikacje pozwalające dodawać wirtualne pułapki do rzeczywistych sieci komputerowych i emulować poszczególne usługi. Honeypot jest trudną do klasyfikacji technologią. W odróżnieniu od znanych mechanizmów zabezpieczeń, takich jak: Intrusion Detection Systems mechanizm o charakterze detekcyjnym (identyfikowanie naruszeń bezpieczeństwa),

2 14 Intrusion Prevention Systems mechanizm o charakterze prewencyjnym (ograniczenie naruszeń bezpieczeństwa), Firewalle mechanizm o charakterze prewencyjnym (filtrowanie i zarządzanie ruchem), honeypot nie dotyczy konkretnego zagadnienia bezpieczeństwa. Na pojęcie honeypot nie należy patrzeć z punktu technologicznego, jest to pewnego rodzaju filozofia działania. Honeypot jest zasobem systemu informatycznego wystawionym celowo na działanie intruzów. Może to być odpowiednio przygotowany system operacyjny z udostępnionymi podatnymi usługami sieciowymi lub określony rekord w bazie danych (nie mający żadnego znaczenia z punktu widzenia działania systemu). Jeżeli zaobserwowana zostanie próba dostępu lub zapisu do wcześniej omówionego rekordu będzie to oznaczało, że ktoś (napastnik) próbuje uzyskać do niego dostęp i nie jest to działanie, w jakikolwiek sposób, uzasadnione. Każda próba dostępu do zasobu honeypota (rekordu w bazie danych) będzie działaniem intruza. Dalsza obserwacja tego typu działań dostarcza szereg informacji, które zbierane są w celu poznania motywów, metod i narzędzi napastnika. Przedstawiony przykład ilustruje, że wartość honeypotu nie jest uzależniona od technologii informatycznej lecz tworzy ją koncepcja zbudowana na styku interakcji intruza z udostępnionym zasobem. Z punktu widzenia koncepcji honeypotem może być dowolna jednostka informacji udostępniona świadomie. Innym przykładem mogą być dane uwierzytelniające (login i hasło) do specjalnie stworzonego do tego celu konta w środowisku sieciowym. Abstrahując od sposobu w jaki napastnik uzyskuje dostęp do celowo przygotowanego konta honeypotu będzie to działanie intruzyjne. Dzięki zgromadzonym informacjom o zachowaniu się intruza na podstawionym koncie możliwe staje się poznanie metod działania napastnika i identyfikacja jego motywów. Zebrane w ten sposób informacje stanowią punk wyjścia do budowy skutecznego systemu zabezpieczeń. Praktycznie nie jest możliwe uzyskanie tego typu wiedzy innym sposobem. Ponieważ honeypoty mogą przyjmować wiele form i zastosowań, w literaturze spotykamy wiele definicji tego pojęcia. Honeypot to dowolny zasób informatyczny, którego jedynym zadaniem jest bycie wykorzystanym poprzez napastnika w nieautoryzowany i nielegalny sposób. Honeypot jest zasobem systemu informatycznego, którego wartość kreowana jest poprzez nieautoryzowane lub niedozwolone wykorzystanie tego zasobu. Przedstawione dwie przykładowe definicje są bardzo szerokie. Tak więc honeypotem może być program, serwis webowy, baza danych, wybrany plik w systemie operacyjnym, itp. Wspólną cechą wszystkich honeypotów jest to, że nie posiadają żadnego wpływu na działanie systemów informatycznych, nie przechowują ważnych informacji, nie nawiązują z nikim połączeń i nie generują żadnych danych. Takie założenie pozawala stwierdzić, że nikt nie korzysta z nich w autoryzowany i świadomy sposób. Celem ich jest jedynie bierne oczekiwanie na atak, gdyż pozyskują informacje o napastniku. Honeypoty są więc pułapkami na włamywaczy, zasobami informatycznymi, które mają na celu zwabienie i schwytanie napastnika. Niektóre konfiguracje honeypotów pozwalają na inwigilowanie i szpiegowanie środowisk komputerowych włamywaczy, śledzenie ich działań, sposobu komunikacji i samych rozmów. Honeypoty pozwalają nie tylko na wykrywanie nowych, jeszcze nieznanych zagrożeń, podatności i metod łamania zabezpieczeń, lecz również rozwiązanie to umożliwia poznanie prze-

3 Honeypot 15 ciwnika, jego technik i narzędzi. Mogą odwracać uwagę intruza od ważnych zasobów informatycznych, dając czas na poinformowanie organów ścigania. Technologia honeypots jest doskonałym narzędziem wykorzystywanym przez specjalistów zajmujących się ochroną systemów informatycznych. Technologia ta pozwala poznać przeciwnika. W Internecie znajduje się już kilka dokumentów opisujących struktury cyberprzestępców. Wniknięcie w struktury przestępców komputerowych było możliwe dzięki technologii honeypot. 1. Klasyfikacja honeypotów Honeypoty możemy klasyfikować ze względu na sposób w jaki są zbudowane. Trzy podstawowe architektury to: Pułapki zbudowane na oprogramowaniu emulującym. Honeypoty symulują pracę jakiegoś zasobu informatycznego (komputera, sługi). Intruz nie ma dostępu do bazowego systemu, na którym działa oprogramowanie honeypota, a jedynie do funkcji przez niego oferowanych. Pułapki zbudowane w oparciu o rzeczywisty komputer. Koncepcja oparta na pojedynczym komputerze, który składa się z autentycznego systemu operacyjnego i realnie pracującego oprogramowania. Pułapki zbudowane w oparciu o rzeczywisty komputer, na którym pracuje jedna lub więcej wirtualnych maszyn. Są to systemy, które działają w obrębie wirtualnych komputerów. Wyróżniamy dwie podstawowe konfiguracje: systemy dedykowane (wszystkie elementy honeynet, honeypot, honeywell pracują pod kontrolą maszyny wirtualnej) oraz systemy hybrydowe (tylko wybrane elementy funkcjonują w wirtualnym środowisku). Tego typu rozwiązania pozwalają na dokładną analizę działań intruza, która może odbywać się nawet na poziomie poszczególnych rozkazów procesora. Z punktu widzenia funkcjonowania możemy wyróżnić dwie klasy honeypotów: Low interaction honeypot (systemy niskiego poziomu interakcji). Honeypoty o niskiej interakcji pozwalają na ograniczoną funkcjonalność i aktywność atakującego. High interaction honeypot (systemy wysokiego poziomu interakcji). Honeypoty wysokiej interakcji oferują szeroką funkcjonalność i pozwalają atakującemu na rozległe działania. Pojęcie interakcji związane jest z miarą aktywności i funkcjonalności, którą honeypot udostępnia atakującemu. Im większą interakcję umożliwia honeypot, tym więcej atakujący może robić, możliwe jest wtedy zgromadzenie większej ilości informacji o ataku. Im więcej możliwości pozostawia honeypot, tym większe jest ryzyko wykrycia pułapki. Honeypoty niskiego poziomu interakcji zazwyczaj nie są budowane na bazie pełnowartościowych systemów rzeczywistych, a jedynie przy użyciu programów, które emulują zasoby informatyczne. Atakujący, który łączy się z honeypotem niskiego poziomu interakcji, może nawiązać połączenie z wybraną usługą, np. serwerem FTP, otrzymać komunikat o rodzaju i wersji symulowanego serwera oraz przesłać do niego dane. Nigdy jednak nie zdoła zrobić niczego więcej niż to, na co pozwala honeypot. Nigdy nie uzyska dostępu do rzeczywistych systemów plików serwera, a co najważniejsze, nigdy nie rozpozna, że ma do czynienia z symulowaną usługą oraz, że wszystkie jego działania zostały zapisane w dzienniku zdarzeń wraz z jego adresem IP i dokładną datą.

4 16 Zaletą honeypotów niskiego poziomu jest łatwość implementacji, utrzymania i monitoringu. Honeypoty niskiej interakcji udostępniają tylko emulację prawdziwych usług i tym samym są ograniczone w zakresie możliwych do pozyskania danych. Ograniczony zakres interakcji ogranicza możliwe działania atakującego. W przypadku nieoczekiwanych i niespotykanych dotąd działań honeypot niskiej interakcji może sobie nie poradzić z poprawną interpretacją działań atakującego, prawidłową odpowiedzią i zalogowaniem nietypowej aktywności. Honeypoty tego typu najczęściej składają się z dedykowanego oprogramowania podejmującego jedynie zaprogramowane akcje. Zakres implementowanych akcji-interakcji jest ściśle uzależniony od funkcji, które zostały zaplanowane na poziomie logiki honeypota. Honeypoty wysokiego poziomu interakcji są rzeczywistymi systemami, które zapewniają usługi w oparciu o prawdziwe oprogramowanie. Atakujący ma do czynienia z kompletnym systemem informatycznym, na którym może realizować dowolne działania, nie wiedząc, że zainstalowane mechanizmy monitorujące pozwalają na obserwację i rejestrowanie jego działań. Dzięki pułapkom tego typu możemy poznać narzędzia napastnika, zidentyfikować nieznane podatności, dowiedzieć się co jest celem i motywem ataku. Systemy wysokiego poziomu interakcji są trudne w zarządzaniu ponieważ wymagają dużej wiedzy i stałej kontroli. Zawsze istnieje niebezpieczeństwo, że doświadczony napastnik złamie zabezpieczenia i przejmie kontrolę nad pułapką. Przejęty honeypot może posłużyć do ataku na inne systemy. Konieczne jest znalezienie kompromisu pomiędzy funkcjonalnością, możliwościami jakie udostępnia się atakującym, a poziomem bezpieczeństwa. Zwiększająć ryzyko przejęcia honeypotu zwiększamy ilość danych o ataku, które możliwe będą do zarejestrowania. Tablica 1. Zestawienie własności honeypotów Low interaction honeypot prosta budowa, nieskomplikowana instalacja, łatwe w zarządzaniu, zminimalizowany poziom ryzyka, emulowane usługi ograniczają działania atakującego, pozyskują ograniczony zakres informacji ograniczony funkcjonalnością emulowanych usług, nie pozwalają na identyfikację nowych form ataków. Źródło: opracowanie własne. High interaction honeypot złożona budowa, skomplikowana instalacja, trudne w zarządzaniu, zwiększony poziom ryzyka, udostępniony jest rzeczywisty system z zasobami możliwymi do przejęcia, pozyskują nieograniczony zakres informacji, atakujący działa na rzeczywistych zasobach informatycznych, pozwalają na identyfikację nowych form ataków i rozpoznanie celu i motywów. W literaturze możemy spotkać również klasyfikację honeypotów ze względu na ich przeznaczenie. Wyróżniamy następujące rodzaje: Productin honeypots - systemy produkcyjne. Typowe rozwiązanie defensywne, informacje pozyskane za ich pomocą służą do ochrony zasobów informatycznych organizacji. Honeypoty produkcyjne zwiększają bezpieczeństwo i pomagają zmniejszyć ryzyko związane z za-

5 Honeypot 17 grożeniami. Stosowane rozwiązania są proste i łatwe w zarządzaniu. Pozwalają monitorować metody ataków i poznawać błędy w oprogramowaniu. Research honeypots systemy badawcze. Zasadniczym celem jest zbieranie informacji o intruzach, śledzenie aktualnych zagrożeń i doskonalenie obrony przed nimi. Honeypoty badawcze umożliwiają przejęcie systemu oraz dają możliwość korzystania z opanowanych zasobów. Przyjęta strategia pozwala na zdobycie bardzo dużo ciekawych informacji. Czasami zdarza się, że napastnik wykorzystuje przejęty zasób do wymiany informacji z przyjaciółmi, wymiany narzędzi wykorzystywanych w atakach. Wówczas mamy możliwość poznania najnowszych podatności i technik penetracji systemów informatycznych. Wiedza taka pozwala doskonalić zabezpieczenia systemów informatycznych oraz podnosić ich bezpieczeństwo. 2. Zalety i wady honeypotów Systemy oparte na koncepcji honeypot mają swoje zalety i wady które decydują o możliwości ich wykorzystania. Omówimy w pierwszej kolejności zalety. Honeypoty gromadzą mała ilość informacji, przy czym zawsze są to informacje wartościowe. Każde połączenie nawiązane z honeypotem, każda próba logowania lub inna forma komunikacji prawdopodobnie jest celowym działaniem kogoś, kto jest w jakiś sposób zainteresowany atakiem. Legalny użytkownik systemu nie wie o istnieniu honeypotu i jego interakcja z honeypotem jest mało prawdopodobna. Pozwala to ograniczyć występowanie fałszywych alarmów i sytuacji, w której prawdziwy atak nie zostanie wykryty. Dzięki założeniu, że honeypoty nie działają w oparciu o bazy znanych ataków, istnieje możliwość identyfikowania nierozpoznanych, przez inne technologie, zagrożeń i nowych form niepożądanej ingerencji w systemy informatyczne. Honeypoty nie opierają swego działania na metodach heurystycznych. Wszystko to co rejestruje honeypot jest podejrzane i może nosić znamiona ataku. Dzięki temu honeypot może wykrywać nowe techniki ataku lub rozpoznawać nowe exploita wykorzystujące nieznaną podatność. Tradycyjne systemy ochrony IDS/IPS są mało skuteczne, jeżeli atak przeprowadzany jest kanałem zaszyfrowanym, ponieważ nie mają możliwości dotarcia do przesyłanej informacji. Większość z nich nie sprawdza się również w środowisku protokołu IPv6. Tych wad nie posiadają systemy oparte na technologii honeypots, ponieważ nie muszą przetwarzać wszystkich danych przesyłanych w sieci i mają dostęp do jawnej postaci informacji, która jest do nich adresowana. Systemy honeypots nie wymagają dużych nakładów finansowych, przetwarzają relatywnie małe ilości informacji, więc wymagają stosunkowo małych zasobów sprzętowych. Technologia honeypot posiada także wady. Honeypoty nie rozpoznają ataku skierowanego na inne zasoby informatyczne, znajdujące się w organizacji, który przeprowadzony został z pominięciem honeypotów. Ograniczone pole widzenia honeypotów może być przyczyną nie dostrzeżenia i pominięcia niektórych ataków. Honeypoty wymagają zaawansowanej wiedzy. Wprowadzenie do ochrony sieci komputerowej niewłaściwie skonfigurowanego honeypota jest związane z ryzykiem, że zostanie on przejęty przez atakującego i wykorzystany do inwigilacji organizacji lub atakowania innych komputerów w systemie informatycznym.

6 18 3. Oprogramowanie Specter jako przykład systemu honeypot Narzędziem, które umożliwia budowę honeypotu jest oprogramowanie Specter działające pod kontrolą systemu rodziny Windows. Instalacja oraz konfiguracja tego honeypota nie wymaga zaawansowanej wiedzy i zajmuje kilka minut. Prostota jego obsługi związana jest z ograniczonymi możliwościami w stosunku do drogich i rozbudowanych systemów. Do zainstalowania oprogramowania wymagany jest oddzielny, dedykowany komputer. Rysunek 1. Panel kontrolny oprogramowania Specter Źródło: opracowanie własne na podstawie System Specter otworzy na komputerze 14 portów, 7 z mich będzie prostymi pułapkami, które zerwą połączenie zaraz po jakiejkolwiek próbie nawiązania z nimi kontaktu. Wszystkie próby połączenia będą rejestrowane, a adresy IP zapisane w dzienniku zdarzeń. Pozostałe porty mogą emulować następujące zasoby: DNS, IMAP4, SUN-RPC, SSH, SUB-7, BOK2,

7 Honeypot 19 dowolny wybrany port FTP, TELNET, SMTP, FINGER, http, NETBUS, POP3. Stopień emulacji poszczególny usług jest regulowany. W przypadku FTP możemy zezwolić intruzowi na zalogowanie się jako anonimowy użytkownik i pobranie pliku z hasłami. Pobrany przez niego plik jest oczywiście nieprawdziwy. W przypadku SMTP możemy emulować zabezpieczony system pocztowy, umożliwi to nam namierzenie osób poszukujących w naszej sieci serwerów służących do rozsyłania spamu. Możemy także skonfigurować Spectera w taki sposób, aby emulował system operacyjny. Lista systemów operacyjnych emulowanych przez Spectera: Windows 98, Windows NT, Windows 2000, Windows XP, Linux, Solaris, Tru64, NeXTStep, Irix, Unisys Unix, AIX, MacOS, MacOS X, FreeBSD. Funkcja intelligence gathering polega to na tym, że w trakcie kiedy intruz łączy się z honeypotem, Specter w tym samym czasie stara się zdobyć nieco więcej informacji o atakującym komputerze: skanuje jego porty, sprawdza usługę finger, robi traceroute itp. Wiedza taka może okazać się później ogromnie przydatna podczas namierzania sprawcy. Funkcji tej należy używać z rozwagą, gdyż dzięki niej intruz może zorientować się, że jest skanowany i próbować zacierać za sobą ślady. Oprogramowanie Specter oprócz standardowych logów może wysyłać maile z informacjami o trwającym ataku oraz przesyłać krótkie komunikaty na telefon komórkowy o zaistniałym zdarzeniu. 4. Przykładowa analiza wykorzystania honeypotów w systemie informatycznym Rysunek 2 przedstawia przykładową sieć komputerową, w której zainstalowano trzy honeypoty. W sieci występuje podział na dwie części:

8 20 strefa zdemilitaryzowana DMZ, strefa wewnętrzna. W strefie DMZ znajdują się dwa serwery świadczące usługi WWW i poczty elektronicznej. Serwery te, ze względu na pełnione funkcje, muszą być dostępne z Internetu i przez to narażone są na ataki bardziej niż pozostałe elementy sieci komputerowej. W sieci wewnętrznej są zlokalizowane stacje robocze oraz serwer bazy danych. Obie części sieci komputerowej połączone są za pomocą rutera wyposażonego w funkcję filtrowania pakietów. Konfiguracja rutera zezwala na realizację połączeń inicjowanych z Internetu do serwerów w strefie zdemilitaryzowanej oraz komputerów w sieci wewnętrznej do Internetu. Jednocześnie blokuje się połączenia z Internetu lub serwerów w strefie DMZ ze stacjami roboczymi oraz serwerem baz danych. Internet Strefa DNZ Router Server www Server poczty Honeypot A Router Workstation Workstation Honeypot B Strefa wewntrzna Server bazy danych Honeypot C Źródło: opracowanie własne. Rysunek 2. Honeypoty w systemie informatycznym

9 Honeypot 21 W systemie informatycznym zainstalowano trzy honeypoty: Honeypot A jest zainstalowany w strefie zdemilitaryzowanej, a jego konfiguracja zbliżona jest do konfiguracji serwera poczty i serwera usług WWW (zgodność systemów operacyjnych). Honeypot B jest częścią sieci wewnętrznej i został zbudowany w oparciu o oprogramowanie stacji roboczej (workstation). Honeypot C znajduje się w wydzielonej strefie i jest wyposażony w identyczne oprogramowanie systemowe i bazodanowe, jak znajdujący się obok serwer bazy danych. Żaden z honeypotów nie zawiera danych, które mogłyby być wartościowe dla organizacji i których modyfikacja lub ujawnienie mogłoby spowodować straty. Honeypoty nie są wykorzystywane przez użytkowników i komputery w sieci. Analogicznie honypoty nie generują w sieci żadnego ruchu. Nikt oprócz kierownictwa i administratora sieci nie powinien wiedzieć, że znajdują się one w systemie informatycznym. Zatem nikt nie powinien korzystać z ich usług i nikt nie powinien nawiązywać z nimi połączeń. Rozważmy następujące scenariusze: Z honeypotem A nawiązano połączenie z Internetu. Świadczy to o próbie włamania z zewnątrz do sieci. Warto przejrzeć adres IP, z którego podejrzane pakiety są wysyłane, sprawdzić czy namierzony adres IP nie łączył się serwerem www i serwerem poczty. Podejrzany adres IP należy oznaczyć jako potencjalnego intruza i obserwować wszystkie jego działania. Połączenia z honeypotem A mogą informować o skanowaniu strefy zdemilitaryzowanej, w celu wykrycia znajdujących się w niej maszyn. Po skanowaniu może nastąpić próba wykorzystania podatności i przełamania zabezpieczeń. Z honeypotem A, B lub C są nawiązywane połączenia z sieci wewnętrznej. Pracownik próbuje uzyskać dostęp do pozostałych systemów lub jego komputer został przejęty przez hakera. Należy rozważyć funkcjonowanie złośliwego oprogramowania (robaka internetowego). Należy niezwłocznie odłączyć podejrzany komputer, zbadać przyczynę zaistniałej sytuacji i podjąć działania prewencyjne. Połączenia są nawiązywane ze wszystkich honeypotów do Internetu i komputerów w sieci wewnętrznej. Honeypoty zostały zaatakowane i intruz prawdopodobnie próbuje je wykorzystać do innych nielegalnych działań. Niepokojące jest to, że atak się powiódł i intruz działa dalej w naszej sieci komputerowej. Mamy do czynienia z publicznie nieznaną podatnością. Dzięki temu, że posiadamy dokładny zapis przebiegu włamania, w postaci zarejestrowanego ruchu sieciowego oraz znamy polecenia przesyłane przez napastnika do naszych komputerów, jesteśmy w stanie tę podatność zidentyfikować. Taka wiedza pozwala na opracowanie odpowiedniego zabezpieczenia i ochronę naszej sieci. Zakończenie W odniesieniu do informatyki i bezpieczeństwa honeypot to dowolny zasób informatyczny, którego zadaniem jest bycie wykorzystanym przez napastnika w nieautoryzowany i nielegalny sposób. Pojęcie honeypot należy analizować mając na uwadze jego zastosowanie i kontekst, w którym jest on wykorzystywany. Rozwiązania technologiczne w tym przypadku są rzeczą wtórną. O wartości honeypota nie stanowi technologia, a jedynie sposób działania intruzów, ich interakcja z pułapką.

10 22 W zależności od zastosowanego rozwiązania honeypoty mogą wykorzystywać szereg rodzajów mechanizmów o charakterze: prewencyjnym, detekcyjnym, reakcyjnym, informacyjnym. Koncepcja honeypota zakłada gromadzenie informacji do wnikliwej analizy wykrytych incydentów. System honeypotów pozwala na poznanie nie tylko technicznej strony ataku, ale również umożliwia rozpoznanie motywów działania sprawcy ataku. Można się dowiedzieć, w jaki sposób napastnik wykorzystuje zdobyte komputery, jakich informacji szuka oraz dlaczego zaatakował. Literatura 1. Horton M., Mugge C., Bezpieczeństwo sieci, notes antyhakera, Wydawnictwo Translator, Warszawa Lukatsky A., Wykrywanie włamań i aktywna ochrona danych, Wydawnictwo Helion, Gliwice Piotrowski M., Królicza nora. Ochrona sieci komputerowych za pomocą technologii honeypot, Wydawnictwo PWN SA, Warszawa Sklyarov I., Hakerskie łamigłówki, Wydawnictwo Helion, Gliwice Wesley J. Noonon, Ochrona infrastruktury sieciowej, Wydawnictwo Edition, Kraków HONEYPOT Summary In the article, the principles of computer network protection using the honeypot technology were presented. Honeypots are systems of traps, which are a powerful weapon in the hands of IT security specialists. The author described types and concepts of operation of honeypots. Keywords: information security, computer network protection, honeypot working dr Uniwersytet Gdański Wydział Ekonomiczny Instytut Transportu i Handlu Morskiegoul. Armii Krajowej 119/121, Sopot krol@panda.bg.univ.gda.pl